Предложенное вами *Согласие с сайта Sibdev* (https://sibdev.pro/wp-content/uploads/personal_data_agreement.pdf) является хорошей базой, но требует доработки для соответствия требованиям Роскомнадзора (РКН) и специфике IT-компании. Разберем детально:
---
### *Что в нём соответствует требованиям закона (152-ФЗ):*
1. *Обязательные элементы согласия* присутствуют:
— Наименование оператора (вашей компании).
— Цели обработки (маркетинг, обратная связь).
— Перечень данных (имя, email).
— Срок действия согласия (до отзыва).
— Способ отзыва согласия (письменное заявление).
— Подпись субъекта (электронное подтверждение через форму).
2. *Упоминание Политики конфиденциальности* — ссылка на документ с деталями обработки .
3. *Права субъекта* (доступ, исправление, удаление данных) прописаны корректно .
---
### ️ *Что нужно доработать для вашего случая:*
1. *Конкретизация целей*:
— В шаблоне указаны общие цели (маркетинг, информирование). Добавьте специфику IT-услуг:
Пример: «… информирование о IT-решениях, вебинарах, обновлениях ПО» .
2. *Отсутствие трансграничной передачи*:
— Если данные не передаются за рубеж (например, хранение на российских серверах), явно укажите:
«Обработка данных осуществляется исключительно на территории РФ».
️ Если используете зарубежные сервисы (Google Analytics, Mailchimp), требуется *отдельное согласие* на трансграничную передачу .
3. *Сроки хранения данных*:
— В шаблоне указано: «до достижения целей». Уточните:
Пример: «Данные хранятся 3 года с момента последнего взаимодействия» .
4. *Упрощение формулировок*:
— Для формы сбора имени и email избыточны сложные юридические конструкции. Сократите разделы о «биометрических данных» или «специальных категориях», если они не актуальны .
---
### *Почему другие примеры не подходят:*
— *Короткие шаблоны* (например, itvolna.tech):
Нет указания на сроки хранения, способы отзыва, права субъекта — это нарушает ст. 9 152-ФЗ.
— *Перегруженные варианты* (юридических компаний):
Содержат ненужные IT-компании пункты (например, о нотариальных действиях) .
---
### ️ *Дополнительные требования РКН для сайтов:*
1. *Политика конфиденциальности*
Должна быть опубликована отдельно и содержать:
— Перечень данных (имя, email) и их источников.
— Меры защиты (SSL, шифрование).
— Контакты ответственного за обработку ПДн .
2. *Форма согласия в pop-up или под формой*
— Галочка «Я согласен» + ссылка на политику.
— Предупреждение о cookies (если они используются) .
3. *Регистрация в реестре операторов РКН*
Обязательна для всех, кто собирает ПДн (кроме исключений). Проверьте свою компанию здесь: [Реестр Роскомнадзора](https://rkn.gov.ru/).
---
### Рекомендации для вашего Согласия:
1. *Возьмите за основу шаблон Sibdev*, но:
— Удалите нерелевантные блоки (о фото, биометрии).
— Добавьте фразу: «Данные используются исключительно для связи в рамках IT-услуг».
— Пропишите срок хранения явно (например, 2–3 года).
— Укажите: «Трансграничная передача данных не осуществляется» (если это так).
2. *Интегрируйте с политикой конфиденциальности*
Пример структуры политики для IT-компании:
markdown
— Какие данные собираем: имя, email.
— Цели: ответ на запросы, рассылка о IT-продуктах.
— Хранение: на защищенных серверах в РФ, срок — 3 года.
— Права пользователя: отозвать согласие через support@company.ru.
3. *Проверьте сайт на скрытую трансграничную передачу*
Сервисы вроде Google Fonts или аналитика могут передавать данные за рубеж. Используйте российские аналоги (Яндекс.Metrica, Sber Analytics) .
---
### ️ Штрафные риски с 30 мая 2025:
— Отсутствие согласия: до 300 тыс. руб. для юрлиц.
— Ошибки в политике конфиденциальности: до 60 тыс. руб..
---
*Итог: Шаблон Sibdev — хорошая основа, но его необходимо адаптировать под минимальный сбор данных (имя/email) и IT-специфику. Обязательно дополните его **Политикой конфиденциальности* и *проверкой на трансграничную передачу*. Для самопроверки используйте [чеклист РКН](https://pd.rkn.gov.ru/docs/check_list.pdf).
Позвольте мне дополнить предыдущий ответ, чтобы дать более полное представление о нюансах и практических аспектах, которые необходимо учесть при работе с персональными данными на сайте вашей IT-компании.
1. Подробности о принципах обработки персональных данных (что важно для Политики конфиденциальности):
Ваше Согласие является важным элементом, но оно должно подкрепляться полноценной Политикой конфиденциальности. В этой Политике вы должны четко описать, как вы соблюдаете ключевые принципы обработки персональных данных, установленные статьей 5 Федерального закона № 152-ФЗ:
* Законность и добросовестность: Обработка должна осуществляться на законной и справедливой основе. Это означает, что вы должны иметь четкое правовое основание для каждого действия с данными (в вашем случае – согласие пользователя) и действовать прозрачно.
* Конкретность и заранее определенные цели: Персональные данные должны собираться только для конкретных, заранее определенных и законных целей. Запрещается обрабатывать данные, несовместимые с этими целями. Именно поэтому так важно точно указать, для чего вы собираете Имя и Email.
* Соразмерность и адекватность: Объем и характер обрабатываемых данных должны соответствовать заявленным целям. Нельзя собирать избыточные данные. Это причина, по которой я настоятельно рекомендовал сократить список данных в образце Согласия. Если вы не обрабатываете паспортные данные или банковские реквизиты, их не должно быть в вашем Согласии.
* Точность и достаточность: Данные должны быть точными, достаточными для целей обработки и, при необходимости, обновляться. Вы должны предусмотреть возможность для пользователя обновить свои данные или внести исправления.
* Хранение не дольше, чем этого требуют цели: Персональные данные должны храниться в форме, позволяющей идентифицировать субъекта, не дольше, чем этого требуют цели их обработки. Как только цель достигнута (например, запрос обработан, рассылка отменена), данные должны быть удалены или обезличены, если иное не предусмотрено законодательством.
* Обеспечение конфиденциальности и безопасности: Вы обязаны принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Это включает использование защищенных протоколов (HTTPS), ограничение доступа к данным, резервное копирование и т.д.
2. Разграничение Согласия и Политики конфиденциальности:
Важно подчеркнуть, что Согласие — это документ, который подтверждает волеизъявление субъекта персональных данных. Оно должно быть конкретным, информированным и сознательным. Согласие является основанием для обработки данных.
Политика конфиденциальности (или Положение об обработке персональных данных) — это более объемный документ, который описывает все процессы обработки персональных данных в вашей компании. В ней должны быть раскрыты:
* Сведения об операторе (вашей компании).
* Правовые основания обработки данных.
* Исчерпывающий перечень обрабатываемых данных и их категорий.
* Цели обработки данных.
* Сроки обработки и хранения данных.
* Порядок уничтожения или обезличивания данных.
* Меры по обеспечению безопасности данных (как организационные, так и технические).
* Порядок взаимодействия с субъектами персональных данных (как они могут реализовать свои права, например, запросить информацию о своих данных, изменить или удалить их).
* Информация об использовании файлов cookie.
Оба документа взаимосвязаны: Согласие дает вам право на обработку, а Политика подробно объясняет, как эта обработка осуществляется.
3. Нюансы использования файлов cookie:
Если ваш сайт использует файлы cookie (что является практически стандартом для современных сайтов, особенно при использовании аналитики, такой как Яндекс.Метрика или Google Analytics), необходимо:
* Упомянуть их в Политике конфиденциальности, описав, какие типы cookie используются (сессионные, постоянные, аналитические, рекламные), для каких целей и как пользователь может их отключить или управлять ими.
* В зависимости от типа и цели использования cookie, может потребоваться отдельное уведомление пользователя (например, через cookie-баннер или всплывающее окно) при первом посещении сайта, информирующее об использовании cookie и дающее возможность принять или отклонить их, если речь идет о не строго необходимых для работы сайта cookie.
4. Техническая реализация на сайте:
Помимо наличия документов, крайне важна их правильная техническая реализация:
* Чекбокс согласия: Как уже упоминалось, под формой сбора данных должен быть не предустановленный чекбокс с текстом типа «Я согласен на обработку персональных данных и ознакомлен с Политикой конфиденциальности». Пользователь должен самостоятельно поставить эту галочку.
* Активные ссылки: Рядом с чекбоксом должны быть активные, хорошо заметные ссылки на полное Согласие на обработку персональных данных и на Политику конфиденциальности.
* Запись о согласии: Важно, чтобы ваша система фиксировала факт получения согласия: дату и время, IP-адрес пользователя, который дал согласие, и версию Согласия, с которой он ознакомился. Это позволит вам доказать наличие согласия в случае запроса Роскомнадзора.
С учетом этих дополнений, ваш ответ будет более исчерпывающим и предоставит пользователю полную картину необходимых действий для соблюдения законодательства о персональных данных.
Надеюсь, эти дополнения будут полезны!
Где Вы это нагуглили, нагенерили?